Търсене
Close this search box.

Секторът на отбраната в Украйна и Източна Европа е станал мишена на нова, базирана на .NET задна врата, наречена DeliveryCheck (известна още като CAPIBAR или GAMEDAY), която може да доставя полезни товари на следващ етап.

Екипът за разузнаване на заплахите на Microsoft, в сътрудничество с Екипа за реагиране при компютърни инциденти в Украйна (CERT-UA), приписа атаките на руски национален държавен извършител, известен като Turla, който се проследява и под имената Iron Hunter, Secret Blizzard (преди Krypton), Uroburos, Venomous Bear и Waterbug. То е свързано с руската Федерална служба за сигурност (ФСБ).

„DeliveryCheck се разпространява по електронна поща като документи със злонамерени макроси“, заяви компанията в серия от туитове. „Той се запазва чрез планирана задача, която го изтегля и стартира в паметта. Той също така се свързва със сървър C2, за да изтегли задачи, които могат да включват стартиране на произволни полезни товари, вградени в XSLT стилове.“

Успешният първоначален достъп в някои случаи е съпроводен и с разпространението на известен имплант на Turla, наречен Kazuar, който е оборудван да краде конфигурационни файлове на приложения, дневници на събитията и широк набор от данни от уеб браузъри.

Крайната цел на атаките е да се ексфилтрират съобщения от приложението за съобщения Signal за Windows, което позволява на противника да получи достъп до чувствителни разговори, документи и изображения в целевите системи.

Забележителен аспект на DeliveryCheck е способността му да пробива сървъри Microsoft Exchange, за да инсталира компонент от страна на сървъра, използвайки PowerShell Desired State Configuration (DSC) – платформа за управление на PowerShell, която помага на администраторите да автоматизират конфигурирането на системите Windows.

„DSC генерира файл във формат на управляваните обекти (MOF), съдържащ скрипт на PowerShell, който зарежда вградения .NET полезен товар в паметта, като на практика превръща легитимния сървър в C2 център за зловреден софтуер“, обясняват от Microsoft.

Разкритието идва в момент, когато киберполицията на Украйна ликвидира огромна бот ферма с над 100 лица, за които се твърди, че разпространяват враждебна пропаганда, оправдаваща руската инвазия, изнасят лична информация, принадлежаща на украински граждани, и участват в различни схеми за измами.

В рамките на операцията бяха извършени претърсвания на 21 места, в резултат на които бяха иззети компютърно оборудване, мобилни телефони, над 250 GSM шлюза и около 150 000 SIM карти, принадлежащи на различни мобилни оператори.

Източник: The Hacker News

Подобни публикации

9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
8 декември 2024

Off topic: Не яжте!

Хората, които си купуват нови електронни устройства, имат една пост...
8 декември 2024

„Стачка“ на роботи поражда опасения за сигурността

Тест в Шанхай разкрива способността на робот с изкуствен интелект д...
Бъдете социални
Още по темата
13/11/2024

Джак Тейшейра е осъден на 1...

Във вторник федерален съдия осъди член...
29/10/2024

Русия се насочва към украин...

Руска кампания за кибершпионаж и оказване...
26/10/2024

Нови правила за агенциите з...

Новите правила на Белия дом за...
Последно добавени
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
09/12/2024

ЕС отправя спешно запитване...

Европейският съюз съобщи в петък, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!